Azure active directory 逻辑应用程序和配置Office 365电子邮件_Azure Active Directory_Azure Logic Apps

Azure active directory 逻辑应用程序和配置Office 365电子邮件

azure-active-directory

Azure active directory 逻辑应用程序和配置Office 365电子邮件,azure-active-directory,azure-logic-apps,Azure Active Directory,Azure Logic Apps,通过Logic Apps中的“通过Office 365 Outlook发送电子邮件”连接器配置到Office 365的新服务连接在保存时失败，出现以下错误- 无法保存逻辑应用程序。客户有对执行“Microsoft/.Logic/workflows/write”操作的权限范围，但它没有权限对链接作用域执行操作“联接/操作” “/providers/microsoft.web/connections/office365” 如果我要求第二部分的权限，那是什么角色？这似乎是Office 365中的

通过Logic Apps中的“通过Office 365 Outlook发送电子邮件”连接器配置到Office 365的新服务连接在保存时失败，出现以下错误-

无法保存逻辑应用程序。客户有对执行“Microsoft/.Logic/workflows/write”操作的权限范围，但它没有权限对链接作用域执行操作“联接/操作” “/providers/microsoft.web/connections/office365”

如果我要求第二部分的权限，那是什么角色？这似乎是Office 365中的某种东西。

当您在逻辑应用程序中使用Office 365连接器（登录您的用户帐户以成功进行身份验证）时，它将在您的资源组中创建一个

office365

API连接（即错误中提到的

microsoft.web/connections/office365

）

因此，要解决这个问题，您还需要资源组/订阅级别的权限，不仅仅是在逻辑应用程序级别，只需导航到逻辑应用程序所在的资源组/订阅，

访问控制（IAM）

->添加RBAC角色，例如

贡献者

，如下所示

{
    "properties": {
        "roleName": "LogicAPIConnRole",
        "description": "test",
        "assignableScopes": [
            "/subscriptions/xxxxx"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.Web/connections/*"
                ],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

更新：

对于问题中的特定错误，毫无疑问，最小权限是

Microsoft.Web/connections/Join/Action

，但如果您想成功完成工作，我建议您使用

Microsoft.Web/connections/*

，它足够小，它包括以下权限

当然，您只能使用

Microsoft.Web/connections/Join/Action

，但它可能会引发另一个权限错误，然后您需要再次修复它，这一切都取决于您的要求

要创建自定义角色，请遵循以下步骤，在中使用json，如下所示

{
    "properties": {
        "roleName": "LogicAPIConnRole",
        "description": "test",
        "assignableScopes": [
            "/subscriptions/xxxxx"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.Web/connections/*"
                ],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

创建后，在

office365

API连接作用域中分配角色，它将正常工作。

此问题有任何更新吗？刚刚添加了注释。我通过在API连接级别应用“Logic Apps Contributor”（逻辑应用程序贡献者）修复了它，该API连接级别提供了太多的权限。最后，我在Logic Apps的API连接中做了一个非常类似的活动，我只给出了“Logic Apps Contributor”。@NitinRastogi好吧，你在问题中没有说你想要最小的特权，Contributor只是我们经常使用的一个普通角色，如果你想要最小的特权，Logic Apps Contributor也不是选择，您需要创建一个自定义RBAC角色，该角色仅包含错误消息Joy中提到的加入/操作权限。请更新答案以包含简单权限，我将其标记为答案。此外，我找不到为自定义RBAC选择的确切RBAC权限。我想分配它，但尽量少分配。@NitinRastogi查看我的更新。